क्या कोई उसी DNS सर्वर का उपयोग कर सकता है, जैसे कि मैं अपने डोमेन को हाईजैक करता हूं?


48

जब मैं एक नया डोमेन पंजीकृत करता हूं, तो मैं इसे रजिस्ट्रार की सेटिंग में अपने डोमेन नाम सर्वर को असाइन करके अपने होस्टिंग प्रदाता को भेजता हूं। उदाहरण के लिए, डिजिटल महासागर के साथ, मैं निम्नलिखित इनपुट करता हूं:

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

मैं तब अपने सर्वर के A रिकॉर्ड में डोमेन सेटिंग्स जोड़ता हूं। यह सिर्फ मेरे लिए हुआ है कि एक ही होस्टिंग प्रदाता पर कोई भी एक डोमेन I के साथ एक रिकॉर्ड जोड़ सकता है।

क्या ऐसा होने से कुछ रोका जा सकता है? यदि एक ही डोमेन नाम सर्वर का उपयोग करने वाले 2 अलग-अलग सर्वर ए रिकॉर्ड्स के माध्यम से खुद को एक डोमेन आवंटित करने का प्रयास करते हैं, तो डोमेन को ब्राउज़र में दर्ज करते समय वास्तव में कहां हल होगा? क्या डोमेन नाम टकराव को एक ही DNS सर्वर पर रोकता है?


7
डिजिटल महासागर इसे रोकता है, एक बात के लिए। बस उस डोमेन के लिए A रिकॉर्ड दर्ज करने का प्रयास करें जिसका आप स्वामी नहीं हैं।
माइकल हैम्पटन

4
सवाल यह है कि वे कैसे जानते हैं कि डोमेन का मालिक कौन है? यह पहले आओ, पहले पाओ? तो जो कोई भी पहले एक रिकॉर्ड जोड़ता है, वह डोमेन का उपयोग कर सकता है?
एरान गैल्परिन

16
@EranGalperin नमस्कार! मैं एक DigitalOcean कर्मचारी हूं। अपने खाते में एक डोमेन जोड़ने वाला पहला व्यक्ति इसके लिए रिकॉर्ड स्थापित कर सकता है, लेकिन हमारे पास संघर्षों के मामले में स्वामित्व स्थापित करने की एक प्रक्रिया है।
याकूब

1
इस तरह के मुद्दे बड़े DNS प्रदाता (जैसे नेटवर्क समाधान) भी DNS पंजीयक हैं। वे एक ही बार में दोनों चरणों को संभाल सकते हैं, और यह सुनिश्चित कर सकते हैं कि चीजें सिंक में हैं।
बरमार

जैसा कि @Barmar ने कहा कि अधिकांश रजिस्ट्रार DNS होस्टिंग भी प्रदान करते हैं, जो आपके द्वारा बताई गई समस्या से बचती है, भले ही परिदृश्य असंभाव्य और हल करने के लिए मामूली लगता है।
फ्रेड थॉमसन

जवाबों:


60

कभी भी आप नीचे टिप्पणी अनुभाग पर ध्यान न दें, और कभी भी संपादित इतिहास में पिछले उत्तरों को ध्यान में न रखें। दोस्तों के साथ कुछ बातचीत के लगभग एक घंटे के बाद (शुक्रिया @joeQwerty, @Iain, और @JourneymanGeek), और कुछ जोवियल हैकिंग के आसपास हम आपके सवाल और पूरी स्थिति दोनों की तह तक पहुँच गए। भंगुरता के लिए क्षमा करें और पहले से ही पूरी तरह से स्थिति को गलत समझें।

आइए प्रक्रिया के माध्यम से कदम बढ़ाएं:

  1. आप wesleyisaderp.comपर, चलो कहते हैं, NameCheap.com।
  2. आपके रजिस्ट्रार के रूप में Namecheap वह जगह होगी जहाँ आप अपने NS रिकॉर्डों को आबाद करते हैं। मान लीजिए कि आप वास्तव में डिजिटल महासागर पर DNS ज़ोन की मेजबानी करना चाहते हैं।
  3. आप अपने चमकदार नए डोमेन के NS रिकॉर्ड को इंगित करते हैं ns1.digitalocean.comऔर ns2.digitalocean.com
  4. हालाँकि, मान लें कि मैं यह निर्धारित करने में सक्षम था कि आपने उस डोमेन को पंजीकृत कर लिया है, और इसके अलावा आपने अपने एनएस रिकॉर्ड को डिजिटल महासागर में बदल दिया है । फिर मैंने आपको एक डिजिटल महासागर खाते में हरा दिया और ज़ोन wesleyisaderp.com को अपने स्वयं के लिए जोड़ दिया।
  5. आप अपने * खाते में ज़ोन को जोड़ने की कोशिश करते हैं लेकिन डिजिटल ओशन कहता है कि ज़ोन उनके सिस्टम में पहले से मौजूद है! अरे नहीं!
  6. मैं CNAME wesleyisaderp.comको wesleyisbetterthanyou.com
  7. प्रफुल्लितता छा जाती है।

कुछ दोस्तों और मैंने अभी इस सटीक परिदृश्य को निभाया है, और हाँ यह काम करता है। यदि @JoeQwerty एक डोमेन खरीदता है और इसे डिजिटल ओशन नेमवेरर्स को इंगित करता है, लेकिन मेरे पास पहले से ही वह ज़ोन मेरे खाते में जोड़ा गया है, तो मैं ज़ोन मास्टर हूं और इसके साथ वही कर सकता हूं जो मैं चाहता हूं।

हालाँकि, इस बात पर विचार करें कि किसी को पहले अपने DNS खाते में ज़ोन को जोड़ना होगा, और फिर आपको अपने एनएस रिकॉर्ड को उसी होस्ट के नाम सर्वर को इंगित करना होगा जो कुछ भी होने के लिए नापाक है। इसके अलावा, डोमेन स्वामी के रूप में, आप किसी भी समय एनएस रिकॉर्ड को स्विच कर सकते हैं और रिज़ॉल्यूशन को खराब ज़ोन होस्ट से दूर ले जा सकते हैं।

ऐसा होने की संभावना कम से कम कहने के लिए थोड़ा कम है। यह कहा जाता है कि, सांख्यिकीय रूप से, आप 52 ताश के पत्तों के एक डेक को फेरबदल कर सकते हैं और एक आदेश प्राप्त कर सकते हैं कि किसी अन्य मानव ने कभी प्राप्त नहीं किया है, और कोई अन्य मानव कभी नहीं होगा। मुझे लगता है कि यहां भी यही तर्क मौजूद है। किसी का शोषण करने की संभावना बहुत कम है, और अस्तित्व में बेहतर शॉर्टकट हैं, कि यह संभवतः दुर्घटना के बाद जंगली में नहीं होगा।

इसके अलावा, यदि आप एक रजिस्ट्रार के पास एक डोमेन रखते हैं और ऐसा होता है कि किसी ने डिजिटल ओशन जैसे किसी प्रदाता पर एक ज़ोन बना दिया है, जिससे आप टकराते हैं, तो मुझे यकीन है कि यदि आप स्वामित्व के प्रमाण प्रदान करते हैं, तो वे उस व्यक्ति से पूछेंगे जो उसने बनाया था अपने खाते में इसे हटा दें क्योंकि इसका कोई कारण नहीं है क्योंकि वे डोमेन नाम के मालिक नहीं हैं।

लेकिन ए रिकॉर्ड्स का क्या

उदाहरण के लिए, डिजिटल महासागर के लिए ज़ोन रखने वाला पहला व्यक्ति वह होगा जो इसे नियंत्रित करता है। आपके पास एक ही DNS इन्फ्रास्ट्रक्चर पर कई समान क्षेत्र नहीं हो सकते हैं। उदाहरण के लिए, उपरोक्त मूर्खतापूर्ण नामों का उपयोग करते हुए, यदि मेरे पास wesleyisaderp.com डिजिटल महासागर पर एक क्षेत्र के रूप में है, तो डिजिटल महासागर के DNS बुनियादी ढांचे पर कोई भी इसे अपने खाते में नहीं जोड़ सकता है।

यहाँ मज़ेदार हिस्सा है: मैंने वास्तव में wesleyisaderp.com को अपने डिजिटल महासागर खाते में जोड़ा है! आगे बढ़ो और इसे अपने में जोड़ने की कोशिश करो। यह कुछ भी चोट नहीं होगा।

इसलिए, आप wesleyisaderp.com में A रिकॉर्ड नहीं जोड़ सकते। यह सब मेरा है।

लेकिन क्या बारे में...

जैसा कि @ मैंने नीचे बताया है, मेरी बात # 4 ऊपर वास्तव में बहुत अधिक है। मुझे इंतजार या योजना बनाने की जरूरत नहीं है। मैं सिर्फ एक खाते में हजारों जोन बना सकता हूं और फिर वापस बैठकर इंतजार कर सकता हूं । तकनीकी तौर पर। यदि मैं हजारों डोमेन बनाता हूं, और फिर उनके लिए पंजीकृत होने की प्रतीक्षा करता हूं, और फिर आशा करता हूं कि वे डीएनएस होस्ट का उपयोग करते हैं जो मैंने अपने क्षेत्र निर्धारित किए हैं ... शायद मैं कुछ बुरा कर सकता हूं? शायद? लेकिन शायद नहीं?

डिजिटल महासागर और NameCheap के लिए माफी

ध्यान दें कि डिजिटल महासागर और नामचीन अद्वितीय नहीं हैं, और इस परिदृश्य से कोई लेना-देना नहीं है। यह सामान्य व्यवहार है। वे सभी मोर्चों पर निर्लज्ज हैं। मैंने केवल उनका उपयोग किया था क्योंकि यह उदाहरण दिया गया था, और वे बहुत प्रसिद्ध ब्रांड हैं।


2
मुझे लगता है कि अगर आप वास्तव में किसी के साथ गड़बड़ करना चाहते हैं, तो आप सेट कर सकते हैं उदाहरण के लिए Aएक MXआरआर और वास्तव में लंबे टीटीएल के साथ एक आरआर, जो आपके द्वारा नियंत्रित होस्ट की ओर इशारा करता है, और आम पब्लिक डीएनएस सर्वर (जैसे Google, शायद?) को हथौड़ा दे सकता है। कैश
पॉइज़निंग

4
यह डोमेन स्वामित्व दिखाने के लिए भी तुच्छ है जो कि ns सर्वरों को बदलने में सक्षम है, भले ही किसी ने ऐसा किया हो, अगर उनकी ग्राहक सेवा अच्छी है तो अपेक्षाकृत जल्दी साफ हो सकती है।
जेम्सरैन

3
@JamesRyan TXT रिकॉर्ड का उपयोग इस तरह के मामलों में स्वामित्व साबित करने के लिए किया जाता है।
user9517

4
@Wesley यह सही है। हमारी DNS सेवा के साथ ज़ोन विरोध के मामलों को संभालने के लिए हमारे पास एक प्रक्रिया है।
जैकब

7
एक अजीब स्थिति जहां यह अधिक संभावना हो सकती है, जहां डोमेन पहले पंजीकृत था और डिजिटल महासागर में उपयोग किया गया था, और फिर लैप्स / नवीनीकरण नहीं किया गया था, लेकिन ज़ोन डिजिटलोसिन से हटाया नहीं गया था। बाद में कोई इसे 'नए' डोमेन के रूप में बताता है (इस बात से अनभिज्ञ कि यह पहले स्वामित्व में था), फिर डिजिटल महासागर में क्षेत्र बनाने की कोशिश करता है। इसे केवल तभी रोका जा सकता है यदि DNS होस्ट समय-समय पर उन ज़ोन को शुद्ध करता है जिसके लिए यह नाम नहीं है। (उपर्युक्त संघर्ष समाधान विधियों के बिना)
एशले

32

वेस्ले के उत्कृष्ट उत्तर के अलावा, मैं यह जोड़ना चाहूंगा कि इसे रोकने के लिए पहले से ही एक उपाय है। इसे DNSSEC कहा जाता है।

मूल बातें यह हैं:

  • आप अपना डोमेन पंजीकृत करें (मैं wesleyisaderp.comयहाँ प्रख्यात नाम के साथ जाऊँगा , सिर्फ इसलिए।)
  • आप अपने नाम सर्वर को अपने रजिस्ट्रार के साथ पंजीकृत करते हैं, आमतौर पर एक वेब इंटरफ़ेस के माध्यम से जिसे आप उपयोगकर्ता नाम / पासवर्ड कॉम्बो के साथ प्रमाणित करते हैं।
  • आप एक सार्वजनिक / निजी कुंजी जोड़ी भी बनाते हैं, और आप अपनी सार्वजनिक कुंजी को DNSKEY रिकॉर्ड के रूप में अपने रजिस्ट्रार को अपलोड करते हैं। (यह है कि कैसे रजिस्ट्रार शीर्ष स्तर डोमेन के लिए रूट सर्वर पर विश्वास की श्रृंखला स्थापित कर सकते हैं - इस मामले में, के लिए रूट सर्वर .com।) फिर, जब आप अपने उपयोगकर्ता नाम / पासवर्ड के साथ लॉग इन करते हैं तो आप इसे अपलोड करते हैं। कॉम्बो, इसलिए यह आपके डोमेन (एस) से जुड़ा है और किसी और के लिए नहीं।
  • आप नेमसर्वर पर जाते हैं, आप अपने रिकॉर्ड दर्ज करते हैं और आप अपनी निजी कुंजी के साथ परिणामी ज़ोन फ़ाइल पर हस्ताक्षर करते हैं। या, यदि आपने अपनी DNS होस्टिंग सेवा के लिए एक वेब इंटरफ़ेस प्राप्त किया है, तो आप उनके लिए निजी कुंजी अपलोड करते हैं ताकि वे उनके लिए ज़ोन फ़ाइल पर हस्ताक्षर कर सकें।
  • जब वेस्ली इतनी बेरहमी से आपके डोमेन और CNAME को अपहृत करने की कोशिश करता है wesleyisbetterthanyou.com, तो उसका रिकॉर्ड .com रूट डोमेन सर्वर द्वारा स्वीकार नहीं किया जाएगा क्योंकि वे सही कुंजी के साथ हस्ताक्षरित नहीं हैं। यदि आपका DNS होस्टिंग प्रदाता चालाक है, तो वे उस बल्ले को सही से चेक करेंगे और उसे उस डोमेन में रिकॉर्ड जोड़ने की कोशिश भी नहीं करेंगे जब तक कि उसे सही निजी कुंजी नहीं मिल जाती।
  • जब आप अपने स्वयं के रिकॉर्ड दर्ज करते हैं, तो उन्हें सही कुंजी द्वारा हस्ताक्षरित किया जाएगा, इसलिए वे काम करेंगे।
  • अब आप वेसले में वापस बैठ सकते हैं और हंस सकते हैं।

(मूल मामले में, वेस्ले जो वर्णन करता है, मुख्य त्रुटि यह होगी कि डिजिटल महासागर ने किसी डोमेन के स्वामित्व को सत्यापित नहीं किया है, इससे पहले कि कोई व्यक्ति इसके लिए डीएनएस रिकॉर्ड स्थापित करने की अनुमति दे। दुर्भाग्य से, वे इसमें अकेले नहीं हैं; मुझे पता है; एक ही मुद्दों के साथ कम से कम एक स्वीडिश रजिस्ट्रार।)


1
जिज्ञासु, कोई गैर-DNSSEC DNS ज़ोन होस्टिंग प्रदाता स्वामित्व को ज़ोन बनाने की अनुमति देने से पहले कैसे सत्यापित करेगा? मैंने अमेज़ॅन रूट 53 का उपयोग करके भी यह कोशिश की और मैं अपने इच्छित क्षेत्र को बना सकता हूं।
वेस्ले

वे शायद अभ्यस्त, यह स्थगित परीक्षण और त्रुटि जाँच की आवश्यकता होगी। बस अनुमान लगा रहे हैं, कुछ (स्मोक-स्क्रीन) ux ट्रिक्स के साथ डिलीट-ऑन-एरर अभी भी संभव हो सकता है।
संपो सरला

@Wesley मैंने यांत्रिकी पर विचार नहीं किया है। लेकिन कम से कम, किसी प्रकार का चेक जोकि रिकॉर्ड पर होता है, या उसी तरह का चेक जो सस्ते एसएसएल सर्टिफिकेट सेलर्स के पास होता है। अगर वे ऐसा कर सकते हैं, तो कंपनियों की मेजबानी क्यों नहीं कर सकते?
जेनी डी का कहना है कि

1
@ जेनीडी सुविधा, ज्यादातर! इस प्रकार का डोमेन हाइजैकिंग काफी दुर्लभ और पता लगाने योग्य है कि जब इसे रोकने के लिए हुप्स के माध्यम से प्रत्येक वैध उपयोगकर्ता कूदने की तुलना में ऐसा होता है तो इसे ठीक करना आसान होता है।
duskwuff

@duskwuff जब सुविधा और सुरक्षा संघर्ष, सुविधा आमतौर पर जीतती है ... मैं सहमत हूं कि डोमेन अपहरण दुर्लभ होने की संभावना है - लेकिन बुराई इरादे के बिना सरल गलतियों के बारे में क्या? IMAO, DNS होस्टरों के लिए किसी भी प्रकार की जाँच नहीं करना लापरवाह है।
जेनी डी का कहना है कि मोनिका

6

जब तक आप रजिस्ट्रार को उनके नाम सर्वर का उपयोग करने के बारे में नहीं बताएंगे, तब तक आप ठीक रहेंगे, जब तक कि आप DigitalOcean पर डोमेन के स्वामित्व का दावा न कर दें (अर्थात इसे अपने खाते से संबद्ध कर लें)।

यदि किसी ने आपके डोमेन को पहले ही अपने खाते से संबद्ध कर लिया है तो आपको पता चलेगा कि DigitalOcean nameservers आधिकारिक बनने से पहले। और अगर ऐसा होता है, तो DigitalOcean से बात करें कि वह व्यक्ति अपने खाते से बाहर निकल रहा है।

सर्वोत्तम अभ्यास के अनुरूप, {ns1, ns2, ns3} .DigitalOcean.com अन्यत्र होस्ट किए गए डोमेन के लिए पुनरावर्ती रिज़ॉल्वर के रूप में कार्य नहीं करता है। यदि उन्होंने किया, और यदि DigitalOcean द्वारा होस्ट किए गए सर्वरों ने उन सर्वरों को सामान्य प्रयोजन रिज़ॉल्वर के रूप में उपयोग किया, तो एक बहुत बड़ी समस्या होगी। सभी के लिए यह अच्छी तरह से खराब अभ्यास के लिए जाना जाता है, यह शायद होस्टिंग प्रदाताओं को खोजने के लिए मुश्किल नहीं है जो इसे गलत पाते हैं, जो दुरुपयोग के लिए संभावनाओं को खोलता है।


इसलिए यदि DigitalOcean अभी तक डोमेन के लिए आधिकारिक नहीं है और कई संभावित ग्राहक दोनों डोमेन के स्वामी होने का दावा करते हैं, तो DigitalOcean को कैसे पता चलेगा कि कौन सा संभावित ग्राहक सच कह रहा है? क्या वे डोमेन पर नियंत्रण साबित करने के लिए NS रिकॉर्ड्स को अपडेट करने के लिए रिकॉर्ड बनाने के लिए पहली बार एक्सेस देने और एक समय सीमा देने जा रहे हैं? या क्या वे संभावित ग्राहकों में से प्रत्येक को NS रिकॉर्ड में डालने के लिए आधिकारिक सर्वर का एक अलग उपसमूह देने जा रहे हैं?
कैस्परल्ड

2
@kasperd वैध स्वामियों को एक बिंदु NS रिकॉर्ड करता है जहाँ वे चाहते हैं और फिर उदाहरण के लिए कॉन्फ़िगर करें एक TXT रिकॉर्ड जो साबित करता है कि वे मालिक हैं क्योंकि इसमें अद्वितीय जानकारी है जो सेवा प्रदाता उन्हें देता है। मोटे तौर पर एक विचारक के कुछ लेकिन दुर्लभ अवसरों के लिए यह हो सकता है कि यह किसी को जहाज पर लाने से पहले सभी को स्वामित्व साबित करने से आसान हो।
user9517, GoFundMonica

@kasperd अक्सर whois रिकॉर्ड वैध मालिक की पहचान करता है, हालांकि लोगों के पास कभी-कभी उस जानकारी को अस्पष्ट करने का कारण होता है। किसी भी स्थिति में, यदि आप अपने खाते के साथ डोमेन को संबद्ध करने के लिए DO को बताते हैं, तो आप इसे आधिकारिक बना सकते हैं, संभवतः प्रतिपक्षी को रजिस्ट्रार को अपडेट करने के लिए एक समयरेखा दें, या DO पर डोमेन एसोसिएशन को त्यागें। वैध मालिक को थोड़ा इंतजार करना पड़ सकता है, बस।
mc0e

0

मुझे लगता है कि इस मुद्दे का मतलब है कि किसी को भी अपने रिवाल्वर के रूप में ऐसे नेमवॉशर (जैसे डिजिटल ओशन) का उपयोग नहीं करना चाहिए, क्योंकि कोई भी उन पर मौजूदा डोमेन के लिए नेमसेवर बना सकता है। डोमेन के नियंत्रण के लिए लड़ाई अप्रासंगिक है क्योंकि डोमेन के स्वामित्व को आसानी से साबित किया जा सकता है, लेकिन यह तथ्य कि कोई भी उदाहरण के लिए किसी भी मौजूदा डोमेन को निर्देशित कर सकता है जो पहले से ही डिजिटल महासागर में होस्ट नहीं है, कहीं भी वे चाहते हैं।

नीचे पंक्ति: किसी भी होस्टिंग सेवा के DNS सर्वरों पर भरोसा न करें जिन्हें डोमेन स्वामित्व के प्रमाण की आवश्यकता नहीं है (उदाहरण के लिए आसानी से और जल्दी से जिस विधि से ऊपर सुझाव दिया गया था, उसके लिए: पहले डोमेन पर एक निश्चित मूल्य के साथ एक TXT रिकॉर्ड जोड़कर , यह Microsoft O365 और Google उदाहरण के लिए क्या करता है)।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.